7-2 应急响应.pptVIP

信息安全管理应急响应 中国信息安全产品测评认证中心（CNITSEC） CISP-3－应急响应（培训样稿） 内容提要 应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 应急响应服务背景 应急响应服务的诞生—CERT/CC 1988年Morris蠕虫事件直接导致了CERT/CC的诞生。 美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。 在CERT/CC 成立之后的14年里，共处理了28万多封Email，2万多个热线电话，其运行模式帮助了80多个CSIRT组织的建设。 应急响应服务背景 CERT/CC服务的内容 提供技术建议 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT（也称IRT、CERT）组织建设 内容提要 应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 事件响应 事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。 网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。 应急响应描述 当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。 这种服务手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。 什么是应急响应 应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式 。 应急响应服务是解决网络系统安全问题的有效安全服务手段之一。 应急响应的目的 应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。 应急响应服务的特点 技术复杂性与专业性 各种硬件平台、操作系统、应用软件 知识经验的依赖性 由IRT中的人提供服务，而不是一个硬件或软件产品 突发性强 需要广泛的协调与合作 内容提要 应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 应急响应组的组建 什么是应急响应组（IRT） 应急响应组就是一个或更多的个人组成的团队，能快速执行和处理与安全有关的事件的任务。 为什么需要成立应急响应组 容易协调响应工作 提高专业知识 提高效率 提高先期主动防御能力 更加适合于满足机构的需要 提高联络功能 提高处理制度障碍方面的能力 应急响应组的分类 国外应急响应组建设情况 国外安全事件响应组（CSIRT）建设情况 FedCIRC、BACIRT、DFN-CERT等 DOE CIAC、 AFCERT、NavyCIRT 亚太地区：AusCERT、SingCERT等 FIRST（1990） FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 120多个正式成员组织，覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成的，从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 国内应急响应组建设情况 计算机网络基础设施已经严重依赖国外 由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内的应急响应服务组织还处在建设阶段 CCERT（1999年5月），中国教育科研网紧急响应组 NJCERT（1999年10月），中国教育网华东（北）地区网络安全事件响应组 中国电信ChinaNet安全小组 解放军，公安部 商业网络安全服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ，2000年3月，北京 国际应急响应组网址 美国 / 清华 / 欧洲 / 新加坡 .sg/ 台湾省 .tw/ 印尼 http://www.paume.itb.ac.id/rahard/id-cert